lunedì 22 maggio 2017

REACH e CLP – Piano nazionale dei controlli su prodotti chimici 2017



Dal Ministero della Salute è stato comunicato il “Piano nazionale delle attività di controllo sui prodotti chimici – Anno 2017“. Il Piano è stato predisposto con la collaborazione del Gruppo Tecnico Interregionale REACH – CLP, con il Centro Nazionale delle Sostanze Chimiche, Prodotti Cosmetici e Protezione del Consumatore dell’Istituto Superiore di Sanità e la Rete dei laboratori di controllo in attuazione all’Accordo Stato-Regioni del 7 maggio 2015.

Il REACH è un sistema integrato di registrazione, valutazione e autorizzazione delle sostanze chimiche che mira ad assicurare un maggiore livello di protezione della salute umana e dell’ambiente. Fabbricanti e importatori – La registrazione delle sostanze comporta, per i fabbricanti e gli importatori di sostanze e miscele anche contenute in articoli, l’obbligo di presentare all’Agenzia europea (ECHA) una serie di informazioni di base sulle caratteristiche delle sostanze e, in mancanza di dati disponibili, l’obbligo di eseguire test sperimentali per caratterizzare le proprietà fisico-chimiche, tossicologiche e ambientali.

Chi sono i destinatari dei controlli?

Per quanto riguarda il settore privato, i soggetti coinvolti dal REACH sono, in particolare:
·         produttori e importatori di sostanze in quanto tali
·         produttori e importatori di miscele
·         produttori e importatori di articoli contenenti sostanze destinate ad essere rilasciate
·         produttori e importatori di articoli contenenti sostanze “estremamente preoccupanti”
·         utilizzatori “ a valle” di sostanze, miscele e articoli.
Il piano, disponibile a questo link, privilegia determinate sostanze e determinate attività, ma destinatari del controllo possono essere sia i produttori/importatori che gli utilizzatori dei prodotti chimici.

Utilizzatori a valle (chi usa i prodotti): quali obblighi?

L’utilizzatore a valle di sostanze chimiche deve:
·         verificare di essere in possesso di schede di sicurezza aggiornate;
·         verificare se l’uso che intende fare della sostanza o del preparato rispecchia quanto riportato nella SDS (scheda di sicurezza) e/o gli scenari di esposizione previsti;
·         essere in possesso di una dichiarazione emessa dai fornitori di sostanze e prodotti chimici da cui risulti che essi sono al corrente dei propri obblighi, adempiano agli stessi e operino conformemente al regolamento REACH;
·         [se del caso] fornire ai propri clienti informazioni: nel caso dei formulatori, relative alla pericolosità e alle condizioni per un impiego sicuro nonché suggerimenti adeguati sulla gestione dei rischi dei preparati di propria realizzazione.

In caso di uso difforme dalla scheda di sicurezza?

Se l’uso che si intende fare della sostanza o del preparato non rispecchia gli usi previsti nella scheda di sicurezza o lo scenario di esposizione, è possibile:
·         contattare il fornitore e chiedergli di predisporre uno scenario d’esposizione che tenga conto delle condizioni d’uso in questione;
·         cambiare fornitore (con scheda dati di sicurezza che contempla lo scenario d’esposizione dell’utilizzatore a valle);
·         modificare le condizioni d’uso adattandole allo scenario d’esposizione;
·         valutare più nel dettaglio se esiste un rischio effettivo o meno;
·         cercare sostanze o miscele meno pericolose;
·         redigere una propria relazione sulla sicurezza chimica (predisponendo il proprio scenario di esposizione).

Schede di sicurezza (SDS)

E’ l’utilizzatore a valle (ai sensi dell’art. 34 del Regolamento Reach), cioè l’azienda stessa che ne fa uso, a dover verificare se l’uso previsto nella sua azienda è contemplato dal fornitore della sostanza nella scheda di sicurezza.
E’ quindi necessario mantenere aggiornato l’elenco dei prodotti effettivamente impiegati in azienda e conservare e mantenere aggiornato l’archivio delle relative schede di sicurezza (SDS).
Le schede devono in particolare:
·         essere redatte conformemente a quanto disposto dai regolamenti REACH e CLP;
·         essere accessibili ai lavoratori;
·         comprendere l’uso effettivamente effettuato.

E’ di fondamentale importanza in particolare l’ultimo punto: qualora infatti l’uso non dovesse essere compreso tra quelli identificati, l’utilizzatore a valle sarebbe tenuto ad informare il proprio fornitore al fine di adeguare la scheda di sicurezza o effettuare a propria iniziativa la Valutazione  sulla Sicurezza Chimica da presentare ad ECHA, che comprenda la propria modalità di utilizzo.
La verifica della conformità delle (e)SDS è uno degli obiettivi previsti dal Piano Nazionale delle attività di controllo sui prodotti chimici per l’anno 2017.

Sostanze contenute in articoli importati – Quali obblighi?

In taluni casi gli importatori di articoli devono registrare o notificare sostanze presenti in articoli all’ECHA; tali obblighi sono in genere gli stessi dei fabbricanti di articoli. Quando si immette un articolo nel mercato dello Spazio Economico Europeo, gli importatori di articoli dovrebbero anche comunicare al cliente l’informazione sulle sostanze presenti nei loro articoli. Ogni importatore deve effettuare le opportune verifiche al fine di stabilire se si applicano obblighi di registrazione, notifica o comunicazione.


lunedì 15 maggio 2017

Attacco informatico globale: ecco come difendersi dagli hacker

La Polizia Postale è in allerta per l’attacco hacker a livello globale compiuto attraverso un malware o ransomware (programma, documento o messaggio di posta elettronica in grado di apportare danni a un sistema informatico) noto coi nomi WCry, WannaCry e WanaCrypt0r.

Il Centro nazionale Anticrimine Informatico per la protezione delle Infrastrutture Critiche (CNAIPIC),  sta costantemente analizzando il fenomeno, intensificando le attività di monitoraggio e le procedure idonee a garantire la massima sicurezza delle infrastrutture informatiche del Paese.
Dai primi  accertamenti effettuati, sebbene l’attacco sia presente in Italia dal primo pomeriggio di venerdì 12 maggio 2017, non si hanno al momento evidenze  di gravi danni ai sistemi informatici o alle reti telematiche delle infrastrutture informatiche del Paese.

Al riguardo è bene che gli utenti della Rete facciano attenzione  alle seguenti procedure rilevate dagli specialisti della Polizia postale:
  1.  le vittime ricevono il malware via rete (non si hanno al momento evidenze di mail vettore dell’infezione).
  2.  Il malware si installa infatti nella macchina “vittima” sfruttando il noto bug EternalBlue e deposita l’eseguibile mssecsvc.exe nella directory di sistema C:\windows.
  3.  Si installa quindi come servizio e procede ad eseguire due attività parallele utilizzando diversi eseguibili.
  4.  La prima attività consiste nel cifrare determinate tipologie di file come da link; https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168.
  5.  La seconda provvede a propagare il malware sulla eventuale LAN presente sfruttando la vulnerabilità suddetta del protocollo SMB con le porte TCP 445 e 139. Questa seconda componente inoltre effettua scansioni in rete alla ricerca di nuovi target da infettare via SMB porta 445.
  6.  Funziona in Ring 0, quindi potenzialmente foriero di maggiori danni di quanti fatti con la sola attività di cifratura. Non è ancora noto se è anche installato la backdoor DoublePulsar o altro.
Stranamente, il codice sorgente contiene una richiesta Open_Internet (non proxy aware) verso un sito pubblico che, se raggiunto, blocca la seconda attività, quella di diffusione sulla rete.
Non si escludono ulteriori problematiche legate alla propagazione di un’ulteriore versione di “WannaCry” 2.0, ovvero al riavvio delle macchine a partire dalla per la giornata di lunedì 15 Maggio 2017, inizio della settimana lavorativa.

Pertanto per difendersi dall’attacco, oltre ad eseguire affidabili backup al fine di  ripristinare facilmente i sistemi interessati in caso di cifratura da parte di WannaCry,  si consiglia  quanto prima di:

Lato client:
  • eseguirel’aggiornamento della protezione per sistemi Microsoft Windows pubblicato con bollettino di sicurezza MS17-010 del 14 marzo 2017;
  • aggiornare software antivirus:
  •   disabilitare dove possibile e ritenuto opportuno i seguenti servizi: Server Message     Block (SMB) e Remote Desktop Protocol (RDP);
  • il ransomware si propaga anche tramite phishing pertanto non aprire link/allegati  provenienti da email sospette;
  • il ransomware attacca sia share di rete che backup su cloud, quindi per chi non l’avesse ancora fatto aggiornare la copia del backup e tenere i dati sensibili isolati.
Lato sicurezza perimetrale:
  • eseguire gli aggiornamenti di sicurezza degli apparati di rete preposti al rilevamento  delle istruzioni (IPS/IDS);
  • dove possibile e ritenuto opportuno  bloccare tutto il traffico in entrata su protocolli:  Server Message Block (SMB) e Remote Desktop Protocol (RDP).
La lista degli indicatori è reperibile sul sito www.commissariatodips.it


Fonte: Polizia di Stato

Nuovo Corso Ergon: La Privacy in azienda alla luce del nuovo Regolamento Europeo



A maggio 2016 è entrato in vigore il Regolamento europeo sulla protezione dei dati, che nel 2018 sostituirà l’attuale Codice della Privacy D.Lgs. 196/03, divenendo legislazione comune per tutte nazioni facenti parte dell’UE.

Il regolamento troverà piena applicazione alla data del 25 maggio 2018: le imprese e le pubbliche amministrazioni hanno pertanto due anni (un periodo di tempo congruo ma non troppo ampio) per organizzarsi e adeguarsi alle nuove regole.
Il corso ha l’obiettivo di analizzare le misure tecnico – organizzative da implementare ed i nuovi obblighi per non rischiare le pesanti sanzioni previste dalla nuova normativa.
Tra le principali novità introdotte sono da attenzionare: la nomina di un “responsabile della
protezione dei dati” (data protection officer), per determinate tipologie di organizzazioni,
l’introduzione del “diritto all’oblio”, del diritto alla portabilità dei dati, le notificazioni delle violazioni alle autorità nazionali e anche agli stessi utenti nei casi più gravi (data breaches).

ERGON Ambiente e Lavoro S.r.L., organizza un corso dal titolo: "La Privacy in azienda alla luce del nuovo Regolamento Europeo" finalizzato all’aggiornamento sulla
materia di tutti coloro i quali a vario titolo trattano o, potenzialmente potrebbero trattare, dati personali.

A chi è rivolto il corso: Il corso si rivolge ai rappresentanti legali dei titolari del
trattamento, a coloro i quali trattano dati personali, ai responsabili della gestione delle
risorse umane, ai liberi professionisti.

Durata e sede: Il corso, della durata di 4 ore, si terrà VENERDÌ 9 GIUGNO 2017 a Palermo presso le sedi ERGON Ambiente e lavoro S.r.L. via Duca della Verdura, 63, dalle ore 9.00 alle ore 13.00.

Numero di partecipanti: Il corso sarà attivato al raggiungimento di un numero minimo
d’aula di 8 iscritti e si intende replicabile in più edizioni con aule composte da un numero
massimo di 25 partecipanti

Docenti: Avvocati qualificati con esperienza pregressa nella docenza. Nell’erogazione
dell’attività formativa, il corpo docente si avvarrà di metodologie di didattica attiva,
finalizzata al pieno coinvolgimento dei discenti, per garantire la piena efficacia
dell’intervento. Le lezioni frontali saranno sempre effettuate con l’ausilio di proiezioni
informatiche animate, al fine di illustrare nel modo più chiaro possibile i concetti espressi.

Quota di iscrizione: 90,00 € per singolo partecipante IVA esclusa sconto del 15% nel caso di due o più iscrizioni della stessa azienda

Programma del corso
Trattamento di dati personali e privacy
La normativa di riferimento: il nuovo Regolamento Europeo cosa cambierà rispetto al codice
della privacy D.Lgs. 196/03
Il trattamento, l’informativa ed il consenso
Le figure coinvolte nel sistema di gestione della Privacy
Designazione del responsabile della protezione dei dati - DPO
Valutazione d’impatto sulla protezione dei dati
Codici di condotta e certificazione
Diritto all’oblio
Diritto alla portabilità dei dati
Notificazioni delle violazioni alle autorità nazionali e agli utenti (data breaches)
Aspetti sanzionatori: responsabilità penale, civile ed amministrativa

martedì 9 maggio 2017

Telemarketing Selvaggio

Ddl concorrenza, Soro: sconcerto e preoccupazione per norma su telemarketing
"Suscita sconcerto e preoccupazione la norma, contenuta nel testo del Ddl concorrenza, relativa al telemarketing. Essa elimina il requisito del consenso preventivo per le chiamate promozionali, "liberalizzando" il fenomeno del telemarketing selvaggio e prevedendo come unica forma di  tutela dell'utente la possibilità di rifiutare le sole chiamate successive alla prima.

Si corre di fatto il rischio di stalking telefonico per milioni di consumatori.  Il Ddl sulla concorrenza approvato il 3 maggio 2017 al Senato, per diventare legge dovrà avere anche il sì della Camera (dove non dovrebbe subire modifiche).  Un emendamento presentato dal Movimento Cinque Stelle e approvato con la fiducia del Pd, nato per arginare il telemarketing selvaggio, rischia infatti di liberalizzarlo di fatto, perché prevede che l’utente possa essere chiamato anche se non ha esplicitamente espresso il suo consenso.

Si tratta di una soluzione diametralmente opposta a quella - fondata sul previo consenso all'interessato - ampiamente discussa nella Commissione di merito dello stesso Senato, indicata dal Garante e, in  apparenza, largamente condivisa. La norma peraltro risulta incoerente con la linea di maggiore tutela seguita dalla stessa Commissione nell'ambito dell'esame del Ddl sul Registro delle opposizioni.

Antonello Soro , Presidente del Garante per la protezione dei dati personali, ha dichiarato: “Prendo atto del fatto che ancora una volta il legislatore intervenga sul Codice della privacy nel segno dell'estemporaneità, rendendo ancora più difficile l'attività di contrasto delle incontenibili violazioni in questo settore".

Il Codacons boccia la «giungla» del settore, dove «il cittadino sarà totalmente indifeso». E i Cinque Stelle, che parlano di «spam legalizzato», annunciano che faranno «tutto ciò che è nelle nostre possibilità per scongiurare l’approvazione di un testo inaccettabile».

Il Ministero dello Sviluppo economico replica: «L’emendamento è chiaramente finalizzato a fornire un ulteriore strumento di tutela dei consumatori». L’Antitrust ha avviato proprio qualche giorno fa un’istruttoria sul telemarketing aggressivo di Telecom e Vodafone per le chiamate continue su telefono fisso e cellulare dei consumatori, a qualsiasi ora del giorno, per sollecitare acquisti o contratti.


Fonte:  Garante Privacy

mercoledì 3 maggio 2017

Nuova Guida al Regolamento sulla Privacy



Nuovo Regolamento UE sulla privacy dal Garante la prima Guida applicativa 


La Guida traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.

L'obiettivo della Guida è duplice: da una parte offrire un primo "strumento" di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy; dall'altro far crescere la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il Regolamento riconosce alle persone.

Il testo della Guida è articolato in 6 sezioni tematiche: Fondamenti di liceità del trattamento; Informativa; Diritti degli interessati; Titolare, responsabile, incaricato del trattamento; Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili; Trasferimenti internazionali di dati.

Ogni sezione illustra in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all'attuale disciplina del trattamento dei dati personali, aggiungendo preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento.

La guida è disponibile sul sito del Garante www.garanteprivacy.it in formato ipertestuale navigabile.

Il testo potrà subire modifiche e integrazioni, allo scopo di offrire sempre  nuovi contenuti e garantire un adeguamento costante all'evoluzione della prassi interpretativa e applicativa della normativa.


Fonte:  Garante Privacy

lunedì 24 aprile 2017

La valutazione di impatto e clima acustico



L’acustica ambientale si occupa dell’analisi preventiva o post-operam del potenziale impatto di un’opera che può produrre rumore o della verifica delle condizioni ambientali (“clima”) in una determinata area al fine di ospitare una entità sensibile.

A seconda dei casi il problema può essere studiato in termini di:

  • impatto acustico: mediante una specifica valutazione previsionale o post-operam, orientata a definire le caratteristiche di emissione di una determinata sorgente sonora e il relativo impatto sull’ambiente circostante e/o su potenziali recettori sensibili;
  • clima acustico: quando si vuole determinare (in modo previsionale) o verificare a posteriori, se in una determinata zona siano presenti le condizioni per ospitare un’opera che necessita di un certo tipo di tutela dal punto di vista acustico (es. una zona residenziale, una scuola, un ospedale).
Qualora le condizioni (in un caso o nell’altro) non siano adeguate, è necessario prevedere un piano di risanamento acustico, che definisca le adeguate misure di bonifica che consentano una adeguata mitigazione del rumore.

La L. 447/1995, ha posto in capo ai Comuni in particolare l’onere di procedere alla classificazione acustica del territorio comunale, per consentire una adeguata pianificazione territoriale, tale da consentire una adeguata tutela sotto il profilo acustico, ma anche l’adozione di regolamenti per l’attuazione della disciplina statale e regionale per la tutela dell’inquinamento acustico.
  • Classificazione acustica del territorio comunale: è uno strumento urbanistico sviluppato a partire dalla suddivisione del territorio comunale in aree acusticamente omogenee a seguito di attenta analisi urbanistica del territorio stesso. L’obiettivo della classificazione è quello di prevenire il deterioramento di zone acusticamente non inquinate e di fornire uno strumento di pianificazione dello sviluppo urbanistico, commerciale, artigianale e industriale.
  • Regolamenti acustici: sono regolamenti definiti a livello comunale per l’attuazione della disciplina statale e regionale per la tutela dall’inquinamento acustico (regolamento acustico generale, per attività temporanee, cantieri, ecc.).
  • Piani di risanamento acustico: strumenti eventuali di risoluzione delle criticità acustiche rilevate.

 Fonte: SYRIOS